【Linktech 資安神隊友】Atlassian 2026 年 2 月安全公告

｜Atlassian 2026 年 2 月安全公告摘要

Atlassian 於 2026 年 02 月 17 日發布了最新的安全公告（Security Bulletin），二月共揭露 15 項漏洞，包含 2 項 Critical（嚴重）與 13 項 High（高）等級漏洞，分布於 Bamboo、Confluence 及 Crowd 三款產品。

每月安全公告所揭露之漏洞，均已評估為對 Atlassian 客戶呈現「非緊急」風險。若出現需立即處理的高風險漏洞，Atlassian 將另行發布 Critical Security Advisory（緊急安全公告）。

本次漏洞係透過 Bug Bounty 獎勵計畫、滲透測試流程及第三方套件掃描所發現。建議各單位盡速確認所使用之版本，並依下列建議版本進行升級修復。

📊 二月漏洞統計總覽

本次公告涵蓋以下三款 Atlassian 產品，共計 15 項漏洞：

※ Critical 等級漏洞（CVSS ≥ 9.0）集中於 Crowd Data Center and Server，請優先進行修復。

｜Bamboo Data Center and Server

受影響版本

•       12.1.0 (LTS)

•       12.0.1 ~ 12.0.2

•       11.0.7 ~ 11.0.8

•       10.2.9 ~ 10.2.13 (LTS)

建議修復版本

•       12.1.2 (LTS) ← 建議優先升級（Data Center）

•       10.2.15 (LTS)（Data Center）

漏洞詳情

CVE-2025-66021：com.googlecode.owasp-java-html-sanitizer:owasp-java-html-sanitizer 相依套件存在 DOM-based XSS（跨站腳本）漏洞。攻擊者可藉由惡意構造的輸入，在使用者瀏覽器端執行任意 JavaScript 腳本，造成資料竊取或帳號劫持等風險。

｜Confluence Data Center and Server

受影響版本

•       10.2.0 ~ 10.2.2 (LTS)

•       10.1.0 ~ 10.1.2

•       10.0.2 ~ 10.0.3

•       9.5.1 ~ 9.5.4

•       9.4.0 ~ 9.4.1

•       9.3.1 ~ 9.3.2

•       9.2.0 ~ 9.2.13 (LTS)

•       9.1.0 ~ 9.1.1

•       9.0.1 ~ 9.0.3

•       8.9.0 ~ 8.9.8

•       8.8.1

•       8.5.7 ~ 8.5.31 (LTS)

•       7.19.20 ~ 7.19.30 (LTS)

建議修復版本

•       10.2.6 (LTS) ← 建議優先升級（Data Center）

•       10.2.3 (LTS)（Data Center）

•       9.2.15 (LTS) ← 建議優先升級（Data Center）

•       9.2.14 (LTS)（Data Center）

漏洞詳情

• CVE-2025-59343：tar-fs 相依套件存在 File Inclusion（路徑包含）漏洞，攻擊者可能透過惡意壓縮檔案，讀取或覆寫伺服器上的任意檔案，造成資料外洩或系統受損。

• CVE-2025-41249：spring-core 相依套件存在授權驗證不當（Improper Authorization）漏洞，未授權使用者可能繞過存取控制取得受保護資源。

• CVE-2025-48976 / CVE-2022-25883 / CVE-2022-25927 / CVE-2020-28469：上述四項漏洞均為 DoS（阻斷服務）弱點，攻擊者可透過特製請求造成服務中斷，影響系統可用性。

｜Crowd Data Center and Server

⚠ 本次 Crowd 共揭露 2 項 Critical 等級漏洞，CVSS 分數分別達 9.8 及 9.1，請優先安排升級！

受影響版本

•       7.1.0 ~ 7.1.3

•       7.0.0 ~ 7.0.2

•       6.3.0 ~ 6.3.4

•       6.2.0 ~ 6.2.6

•       6.1.0 ~ 6.1.7

•       6.0.0 ~ 6.0.10

•       5.3.1 ~ 5.3.8

•       5.1.13

•       5.0.11

建議修復版本

•       7.1.5 ← 建議優先升級（Data Center）

漏洞詳情

• CVE-2025-66516（Critical 9.8）：org.apache.tika:tika-parsers 相依套件存在 XXE（XML External Entity Injection）漏洞。攻擊者可透過惡意 XML 內容讀取伺服器內部檔案或發動 SSRF 攻擊。雖然 Atlassian 評估其在 Crowd 中實際利用風險低於 CVSS 原始評分，但仍強烈建議盡速修復。

• CVE-2025-9287（Critical 9.1）：Crowd 第三方相依套件存在 Injection（注入）漏洞，可能允許攻擊者操控應用程式邏輯或竊取資料。同樣地，Atlassian 評估在 Crowd 實際部署環境中之風險低於原始 CVSS 評分。

• CVE-2025-48734（High 8.8）：commons-beanutils 相依套件存在 RCE（Remote Code Execution）漏洞，攻擊者一旦取得利用管道，可能於伺服器端執行任意程式碼，危害極高。

• 其餘漏洞（CVE-2025-66675、CVE-2020-28469、CVE-2022-25927、CVE-2019-20149、CVE-2024-57699）：涵蓋 DoS（阻斷服務）及不安全反序列化等類型，可能導致服務中斷或進一步利用風險。

｜修復建議

Atlassian 建議將產品升級至最新版本，或下表所列之版本：

｜Atlassian 的應對措施

本次的漏洞被原廠定位成高危風險，不再以上建議修復版本之上之版本建議都要進行升級動作。

建議用戶保持其產品的最新版本，以確保獲得最新的安全修復和改進，未列於上方的修復之相關版本，可能是因為該版本已經非屬於 LTS 版本，建議還是要升級版本至當前建議的修復版本。

｜Atlassian Cloud影響狀況

使用 Atlassian Cloud 產品的用戶無需擔心此漏洞影響。Atlassian 的 SaaS 服務具備高度的安全防護機制，並持續進行安全強化，修復漏洞、並持續強化防護機制，以確保您的資料安全。

｜總結

若貴司當前的 Atlassian 環境，落在公告所涵蓋的漏洞範圍內，可能導致：

• 系統資料外洩或權限被濫用

• 升級過程中功能異常或資料流失

• 長期運行效能降低與維護成本增加

• 駭客破解導致公司資產損失

Linktech 深耕 Atlassian 系列解決方案，並同時覆蓋 資訊安全檢測 與 系統升級支援：

🔍 全環境盤點與資安檢測：升級前進行完整漏洞掃描與系統健康檢查。

🔒 安全強化：針對 Atlassian 產品提供修復建議與最佳安全設定。

⚙️ 專業升級服務：確保 Atlassian Data Center 系列產品升級後功能正常、資料完整不流失。

🤝 長期維運顧問：協助企業保持持續更新，降低資安與營運風險。

若您的 Atlassian 環境正受此次公告影響，建議立即：

1. 確認漏洞範圍

2. 評估升級需求

3. 與 Linktech 專業團隊聯繫

   
   

Linktech 專業顧問將協助您完成 安全檢測、升級計畫與後續維運，確保系統安全無虞。請立即聯繫獲取完整安全升級方案。

Linktech 團隊洽詢方式：

• Tel: 02-7752-7658

• email: sales@linktech.com.tw